Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Instrumente de administrare la distanță HoldingHands RAT

HoldingHands RAT

Până în Mezo în Instrumente de administrare la distanță, Amenințare persistentă avansată (APT)
Tradu in:

Actorii din spatele familiei de programe malware Winos 4.0 (cunoscută și sub numele de ValleyRAT) și-au extins operațiunile dincolo de China și Taiwan, pentru a viza Japonia și Malaezia. În aceste campanii recente, grupul a lansat un al doilea troian de acces la distanță (RAT) identificat ca HoldingHands (cunoscut și sub numele de Gh0stBins), folosind documente de phishing modificate social ca vector principal.

Cum se răspândește campania

Atacatorii distribuie malware-ul prin e-mailuri de tip phishing care includ atașamente PDF cu linkuri rău intenționate încorporate. PDF-urile se dau drept comunicări oficiale - în unele cazuri, dându-se drept documente ale Ministerului Finanțelor - și conțin mai multe linkuri, dintre care doar unul duce la descărcarea rău intenționată. În alte incidente, momeala este o pagină web (de exemplu, o pagină în limba japoneză găzduită la o adresă URL precum „twsww[.]xin/download[.]html”) care solicită victimelor să preia o arhivă ZIP care conține fișierul RAT.

Metode de distribuție și atribuire

Winos 4.0 este propagat frecvent prin campanii de phishing și intoxicație SEO care redirecționează victimele către pagini de descărcare false care se prezintă drept software legitim (exemplele observate includ programe de instalare contrafăcute pentru Google Chrome, Telegram, Youdao, Sogou AI, WPS Office și DeepSeek). Cercetătorii în domeniul securității leagă utilizarea Winos de un cluster de infractori cibernetici agresivi, cunoscut sub diverse sub numele de Silver Fox, SwimSnake, Valley Thief (Marele Hoț din Vale), UTG-Q-1000 și Void Arachne. În septembrie 2025, cercetătorii au raportat că acest actor a abuzat de un driver vulnerabil anterior nedocumentat, inclus într-un produs al furnizorului numit WatchDog Anti-malware, într-o tehnică BYOVD (Bring Your Own Vulnerable Driver) pentru a dezactiva protecția endpoint-urilor. Anterior (august 2025), grupul a folosit intoxicația SEO pentru a răspândi modulele HiddenGh0st și Winos, iar rapoartele din iunie au documentat utilizarea de fișiere PDF cu capcană pentru a inscena infecții în mai mulți pași, care în cele din urmă au implementat HoldingHands RAT. Printre momelile istorice se numără fișiere Excel cu tematică fiscală folosite împotriva Chinei încă din martie 2024; eforturile recente s-au îndreptat către pagini de destinație de phishing care vizează Malaezia.

Infecție în mai multe etape și persistență

Infecția începe de obicei cu un executabil deghizat într-un audit de accize sau alt document oficial. Executabilul respectiv încarcă lateral un DLL malițios, care acționează ca un încărcător de shellcode pentru o utilă numită „sw.dat”. Încărcătorul efectuează mai multe acțiuni anti-analiză și defensive - verificări anti-VM, scanarea proceselor în execuție pentru produse de securitate cunoscute și terminarea acestora, escaladarea privilegiilor și dezactivarea Planificatorului de activități Windows - înainte de a transfera controlul etapelor ulterioare.

Fișierele observate care au fost descărcate în sistem:

  • svchost.ini — conține RVA-ul pentru VirtualAlloc.
  • TimeBrokerClient.dll (fișierul TimeBrokerClient.dll legitim a fost redenumit BrokerClientCallback.dll).
  • msvchost.dat — cod shell criptat.
  • system.dat — sarcină utilă criptată.
  • wkscli.dll — DLL neutilizată/substitut.

Declanșare Planificator de activități și activare ascunsă

În loc să se bazeze pe lansarea explicită a unui proces, campania valorifică comportamentul Windows Task Scheduler: Task Scheduler rulează ca serviciu sub svchost.exe și, în mod implicit, este configurat să repornească la scurt timp după o eroare. Malware-ul modifică fișierele astfel încât, atunci când serviciul Task Scheduler repornește, svchost.exe încarcă fișierul malițios TimeBrokerClient.dll (redenumit BrokerClientCallback.dll). DLL-ul respectiv alocă memorie pentru codul shell criptat folosind adresa VirtualAlloc stocată în svchost.ini, apoi determină msvchost.dat să decripteze system.dat și să extragă sarcina utilă HoldingHands. Acest declanșator „repornire serviciu → încărcare DLL” reduce necesitatea executării directe a proceselor și complică detectarea bazată pe comportament.

Escalarea privilegiilor către TrustedInstaller

Pentru a obține permisiunile necesare pentru redenumirea și înlocuirea componentelor de sistem protejate (de exemplu, redenumirea fișierului TimeBrokerClient.dll autentic), încărcătorul se preface în conturi de sistem cu privilegii ridicate. Secvența observată este:

  • Activați SeDebugPrivilege pentru a accesa procesul Winlogon și token-ul său.
  • Adoptă token-ul Winlogon pentru a rula ca SYSTEM.
  • Din SYSTEM, obțineți un context de securitate TrustedInstaller — contul utilizat de Windows Resource Protection pentru a proteja fișierele critice ale sistemului de operare.
  • Folosind contextul TrustedInstaller, malware-ul poate modifica fișierele protejate din C:\Windows\System32 (o acțiune restricționată în mod normal chiar și pentru administratori).

Cum execută și menține controlul sarcina utilă

Componenta malware TimeBrokerClient alocă memorie conform RVA-ului din svchost.ini, plasează acolo codul shell decriptat din msvchost.dat și îl rulează. Sarcina utilă decriptată despachetează HoldingHands, care apoi stabilește comunicații cu un server de comandă și control (C2) la distanță. Capacitățile observate includ:

  • Trimiterea informațiilor despre gazdă către C2.
  • Trimite mesaje de ritm cardiac la fiecare 60 de secunde pentru a menține canalul activ.
  • Primirea și executarea comenzilor la distanță (furt de date, executarea arbitrară a comenzilor, preluarea de sarcini utile suplimentare).
  • O funcție suplimentară care permite operatorului să actualizeze adresa C2 prin intermediul unei intrări din Registrul Windows.

Direcționare, concentrare pe limbaj și motiv probabil

Mostre și momeli recente indică o concentrare pe victimele vorbitoare de limbă chineză, deși aria geografică de acoperire include acum Japonia și Malaezia. Modelele operaționale - recunoaștere, direcționare regională, persistență ascunsă și funcționalitate modulară de tip backdoor - indică colectarea de informații în regiune, implanturile fiind adesea lăsate inactive în așteptarea unor instrucțiuni suplimentare.

Rezumat

Operatorii legați de Silver Fox și-au extins activitatea Winos 4.0 și au adăugat HoldingHands RAT la setul lor de instrumente, folosind inginerie socială perfecționată (PDF-uri și pagini otrăvite de SEO) și un lanț de execuție sofisticat în mai multe etape care abuzează de comportamentul Task Scheduler și de privilegiile TrustedInstaller pentru a persista și a evita detectarea. Capacitățile și direcționarea operațiunii sugerează un efort regional concentrat de colectare a informațiilor, cu implanturi modulare de lungă durată, care așteaptă comenzile operatorilor.

Trending

American Express - Înșelătorie privind blocarea...

phishing, Spam
Infractorii cibernetici exploatează adesea familiaritatea mărcilor de încredere pentru a atrage utilizatori neatenți să dezvăluie informații sensibile. Escrocheria „American Express - Tentativa de conectare a fost blocată” este un exemplu excelent al acestei tactici. Aceste e-mailuri se dau drept alerte de securitate de la American Express, susținând că o încercare suspectă de conectare a fost...

Cele mai văzute

Se încarcă...